新生鳩丸掲示板♯

>スクリプトが実行されたりすることはないと思います。

>任意の文字列を入力できなければならないという要件なのに「--」を入力できないので仕様を満たしていないという点は困るかもしれませんが、少なくともこの点に関しては危険ではないはずです。

　ああ、なるほど。「危険」という表現に語弊があったかもしれないですね。

　ユーザーが「--」を入力したときにちゃんと動作しない危険性があるので NG という意味です。

　というわけで表現を微修正してみました。

メタルドット生まれない。。。、、、、、・・・・・・・・・・

リファレンスちゃんと読んでいれば、自然と\A～\z使えばいいということに気づく(^～$ではいけないと気づく)……と思うのは私だけ？

# もちろん私は\A～\z使ってました。

>>・XHTMLとして「正しく」解釈された場合

>>の意味がよくわかりません。XHTML(=XML)のコメント中では--は出現禁止(出現すると整形式ではなくなる)じゃありませんでしたっけ。

>　です。

>　なので、その禁止物がインジェクションされると困るという話です。

整形式制約違反は致命的エラーで、

http://www.w3.org/TR/xml/#dt-wfc

致命的エラーの場合XMLプロセッサは通常の処理を続けてはならないので、

http://www.w3.org/TR/xml/#dt-fatal

スクリプトが実行されたりすることはないと思います。

任意の文字列を入力できなければならないという要件なのに「--」を入力できないので仕様を満たしていないという点は困るかもしれませんが、少なくともこの点に関しては危険ではないはずです。

パーサが正しくないなら話は別ですが

> XHTML として「正しく」解釈された場合

とわざわざ断っているので余計に意味がわかりません。

SO905iのブラウザではscript要素の中はそのまま描画してくれました。

表題は「JavaScript のリテラルに任意の文字列を出力してみる」ということですので、以下、私が書くことはハズしているのですが・・・「リテラルに」という部分で。

こんな感じのHTML 断片があったとします。

<script type="text/javascript">

<!--

<%= value %>; //※注.foo.bar=がないです。

//-->

</script>

「ユニコードエスケープ」では、恐らく任意のスクリプトの実行が可能なのではないかと存じます。というか、手元のFirefox ver 1.508 では・・・で確認したのですが。

たとえば、

I am the Α and the Ω.

という文章をalertすることは可能でした。この調子で好きな文字を作っておいてevalしてしまえばなんていうことないですよね。たぶん。

>・XHTMLとして「正しく」解釈された場合

>の意味がよくわかりません。XHTML(=XML)のコメント中では--は出現禁止(出現すると整形式ではなくなる)じゃありませんでしたっけ。

　です。

　なので、その禁止物がインジェクションされると困るという話です。

・XHTMLとして「正しく」解釈された場合

の意味がよくわかりません。XHTML(=XML)のコメント中では--は出現禁止(出現すると整形式ではなくなる)じゃありませんでしたっけ。

http://www.w3.org/TR/xml/#sec-comments

ところで【謎】、HTML5のドラフトが出たようなのでレビュー期待しています【謎】。

はじめまして。よろしくお願いします。

>フラスコスってどうやって手に入れるんですか？

たしかヘルマンさんの部屋（バクテリアンラボ）で採れたと思います。

質問なんですが、やっぱりキンオブゴッドってかなり作りにくいものですか？

新。　いじめ撃退法

>今さっき落としてみたら、署名されているけど有効でない(期限切れ)ですね。

　あー、確かに仰るとおりですね。

　署名されていないものと誤解していました。ありがとうございます。

>中身はまだ見てませんが、中身の exe の署名も有効なんでしょうか？

　中身の署名は有効なようです (少なくとも私の手元では有効のように見えます)。

お世話になります。

今さっき落としてみたら、署名されているけど有効でない(期限切れ)ですね。

中身はまだ見てませんが、中身の exe の署名も有効なんでしょうか？

あ、落としたとこはここです。

http://faq.askpc.panasonic.co.jp/faq/1038/app/servlet/qadoc?001885

いじょうです。

---

フラスコスってどうやって手に入れるんですか？

教えてください

フラスコスってどうやって手に入れるんですか～～？

教えてください

１月１４日の午後１４時に門を開けてくれると助かります。コード・４７６８－６４１０－２３３７です村・フルーツ村。名前：あやぴー

１月１４日の午後１４時に門を開けてくれると助かります

そうそうサークリア

俺らは菌の名前を呼ぶとき菌の最初の名前の４文字で呼んでいるよ例えばアダムスキンは、アダムスとかキンオブゴットは、キンオブとかそういうかんじ

俺の固有菌はアダムスキンでした。

>画像を利用させてもらっているのだから、Refererどころか断りのメールを送ってもいいくらい。

　元記事を読んでいただくと分かると思うのですが、厳密な NDA(秘密保持契約) に縛られて仕事をしているようなケースを想定しています。例えばですが、

・新製品のキャンペーンサイトを作成している

・その新製品は未発表であり、発表前に製品名等が漏洩するとまずい

・プロジェクト名にはその製品名が含まれている

　という状況を考えてみてください。たいてい製品発表とサイト公開は同時に行われることになりますから、製品発表前に制作が完了していないといけないわけでして、未発表製品のサイト作成というのは良くある話です。

　こういう状況で Wiki に「プロジェクト名」のページが作成されていると、Referer から URL が漏洩することによって、未発表の製品名が漏洩してしまう可能性があります。

　もちろん

・プロジェクト名に製品名を入れない

・Wiki にプロジェクト名を入れない

　といった対策も考えられますが、前者は直感的ではありませんし、後者は Wiki の実装上、ページ名がそのまま URL の一部になってしまう場合が多いです。

>そもそもその画像はどうやって見るつもり（見せるつもり）なのでしょう？

　こちらも元記事を読んでいただけば分かると思うのですが、もともとその画像を利用するつもりなど全く無く、その場で見る/見せるつもりも全くありませんでした。本来の意図としては、単に URL を文字列として表示したかったのですが、そのつもりで URL を書いたところ、意図に反して画像が表示されてしまったという話です。

　一言で言うなら、たとえば「Flash Player のバナー画像のありかをメモするために画像の URL を書く」なんてことは普通に行われますが、その行為によって Adobe に未公開の製品名を知られてしまうのはまずいよね、という話です。